行业观察 · 物联网安全
7月1日开始,消费级IoT产品要贴安全标识了
三等级、五维度,和商密的关系比想象中近
依据:《网络安全标识管理办法》(2026年7月1日施行)配套标准:《消费类智能联网设备分级要求》(征求意见稿)
觉得有帮助?关注「密安护航」,获取更多密码检测干货 |
一、这件事是怎么来的
国家网信办、工信部、公安部三部门联合发文,《网络安全标识管理办法》7月1日正式施行。核心内容是:具有联网功能的消费级IoT产品,可以申请贴上网络安全标识,按安全能力分三个等级——一星(基础级)、二星(增强级)、三星(领先级)。
配套的《消费类智能联网设备分级要求》国家标准同步推进,参编单位涵盖海康威视、小米、华为、中国移动、vivo、联想等头部厂商。两个文件一制度一标准,配套到位,IoT产品安全从"可做可不做"变成了有制度框架的正式赛道。
覆盖范围很宽:摄像头、智能门锁、智能手表/手环、家用路由器、扫地机器人、物联网基站……只要能联网,都在范围内。
标识是自愿参与,但市场会形成压力。头部厂商先贴上三星标识,零售商、平台、采购方就会把它变成隐性门槛——最后还是得做。这种路径在其他行业已经走过一遍了。
二、三个等级,要求差很远
三个等级的技术要求是递进关系,但有一个关键区别值得圈内人注意——三星必须委托第三方做渗透测试,没有自检选项。一二星厂商可以自检,三星不行。
| ★ 一星 | ||
| ★★ 二星 | ||
| ★★★ 三星 |
而且IoT渗透测试跟常规的Web渗透不是一回事,硬件层(芯片读写、调试接口、固件提取)、通信层(蓝牙、Zigbee、射频)、固件层(逆向、栈溢出)——涉及的能力面很宽,门槛不低。这条赛道,现在还在起步阶段,有能力的人先进来,后来者会越来越难。
三、密码人该看什么:五大维度里的商密条款
《分级要求》把检测内容分成五个维度,读一遍就能发现——密码相关条款几乎每个维度都有:
物理与硬件安全——芯片加解密运算、可信执行环境、硬件随机数发生器、安全启动签名校验链(SM2/SM9)
系统与软件安全——鉴别信息加密存储、固件更新真实性校验(签名验证)、防版本回滚
网络与通信安全——通信信道加密强度、密钥加密传输、双向身份鉴别(对应SM4密钥协商)
数据与信息安全——关键安全参数加密存储、禁止硬编码密钥、禁止明文密码传输
安全保障——三星要求的抗侧信道攻击,本质上是密码实现层面的检测
这个重叠面不是巧合。IoT设备密码合规的需求本来就在那,新标准只是把它系统化地要求出来了。做过商密产品的人看这些条款,会觉得眼熟——已有的能力,换了个赛道。
四、国际视角:ETSI EN 303 645先走了一步
如果产品要进欧洲市场,类似的要求其实早就有了。英国2022年通过了《产品安全和电信基础设施法案》(PSTI),2024年4月29日生效,执行标准就是ETSI EN 303 645——消费类物联网安全基线,凡参与消费级IoT产品供应链的企业都需要遵守。
中国的《分级要求》在制定时参考了ETSI EN 303 645,两套框架在"禁止通用默认口令、漏洞管理、安全更新、数据最小必要"等核心条款上高度对应。对想同时拿国内安全标识和进欧洲市场的厂商来说,两套标准有大量重合,一次整改可以兼顾。
五、圈内人该关注什么
说几个我觉得值得留意方向:
三星渗透测试是硬门槛——没有自检选项,需求是确定的。但IoT渗透能力面宽,硬件+通信+固件三层都要覆盖,不是随便转过来的。这块现在参与的人不多,值得关注。
商密和IoT安全的条款重叠度很高——五个维度里密码条款几乎无处不在。做过商密的人转到IoT安全,上手比从零开始快得多。能力可以复用,赛道可以延伸。
国内+国际双认证是个结合点——对做出口的IoT厂商,国内安全标识和ETSI EN 303 645一并覆盖,比分两次跑更划算。这个需求会越来越多。
时间点已经到了。7月1日管理办法施行,首批目录发布。趁需求刚起来、市场还没充分竞争的时候关注,比等别人都做熟了再跟进要主动。
消费级IoT产品安全检测能力(欢迎各位后台留言探讨) 国内安全标识检测 + ETSI EN 303 645 国际认证 · 双路径覆盖 已具备消费型物联网产品安全检测能力 国际合作方:英国BSI · 法国BV 适用产品范围 智能家居/语音助手 连网摄像机 智能手机可穿戴设备 物联网基站 集线器家居自动化设备 智能门铃 报警系统 正在规划国内安全标识或出口欧洲市场合规?可了解检测流程、周期与成本评估 |
往期推荐
三批目录扩容背后的检测业务机会与隐忧
▶ 检测干货 | GM/T 0059拆解——服务器密码机18项检测,这三个卡掉一半产品
密钥管理、随机数、应用接口高频不合格项拆解
▶ 新标切换 | GM/T 0031——7月1日电子签章换新版,这三处必须改
2025版新标施行,三处变更直接影响送审
密安护航 商用密码认证合规 · 行业观察视角 服务对象:CA机构 · 密码产品厂商 · 合规负责人 # 商密认证 # IoT检测 # 密码标准解读 # 合规实战 本文内容基于公开政策和标准文件整理,仅供参考,不构成法律或认证建议。 觉得有帮助?点个「在看」,让更多同行看到 |


